RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

Аннотация

В данном документе определяется механизм, который позволяет WEB-сайту анонсировать доступ только через безопасные соединения и/или для пользователей, способных указать своим агентам пользователя устанавливать соединение с данными сайтами только через безопасные каналы. Эта политика называется строгой транспортной безопасностью HTTP (HSTS — HTTP Strict Transport Security). Политика декларируется WEB-сайтами через поле заголовка отклика HSTS и/или другими способами, такими, например, как конфигурация агента пользователя.

Оглавление

1. Введение

HTTP [RFC-2616] может использовать различные виды транспорта, обычно это TCP (Transmission Control Protocol). Однако, TCP не предоставляет сервиса конфиденциальности, защиты и безопасной идентификации компьютера. Таким образом, протокол SSL (Secure Sockets Layer) [RFC-6101] и его приемник, TLS (Transport Layer Security) [RFC-5246] были разработаны для того, чтобы обеспечить канальную безопасность. [RFC-2818] специфицирует то, как HTTP согласуется с TLS и определяет схему URI (Uniform Resource Identifier) "https" (на практике, однако, агенты пользователя HTTP (UA) обычно используют либо TLS, либо SSL3, в зависимости от предпочтений сервера и пользователя).

UA используют различные локальные политики безопасности с учетом характеристик их взаимодействия с WEB-ресурсами, в зависимости от того, взаимодействует ли компьютер данного ресурса с привлечением HTTP или HTTP поверх безопасного тракта. Например, куки ([RFC-6265]) могут быть помечены как безопасные. UA должны посылать такие безопасные куки своему компьютеру-адресату только через безопасный транспортный канал. Напротив, небезопасные куки возвращаются компьютеру по любому транспортному каналу (без учета его безопасности).

2007 - 2017 © Русские переводы RFC, IETF, ISOC.